Pfii zkoumání bezpeãnosti RFID se bez, byÈskromné, laboratofie neobejdeme. Dokumen-tace ãipÛ je totiÏ ãasto neúplná a sázet na za-ruãená prohlá‰ení obchodníkÛ je jistou ces-tou do pekla. Nezb˘vá proto neÏ ovûfiovatnûkteré hypotézy vlastními experimenty, nacoÏ obvykle zb˘vá málo ãasu. Správn˘ inte-grovan˘ obvod ve správnou chvíli tak mívácenu zlata. Zde si konkrétnû pfiedstavímeobvody pro pásmo LF (100–150 kHz), kteréjsme si vypÛjãili z praÏského ASICentra(www.asicentrum.cz).

EM4095Obvod s pfiedpokládan˘m napájením 4,1–5,5 V je urãen pro terminály (slan-govû ãteãky) komunikující s transpon-déry RFID, a to jak v jednosmûrném, taktaké v obousmûrném módu. Jeho úãelemje spolu s minimem okolních souãástekobstarat pro fiídicí procesor ve‰keré ana-logové aspekty takové komunikace. Na-‰e struãné seznámení provedeme tak, Ïe si okomentujeme typické zapojení z obr. 1. Pro pfiipojení procesoru slouÏídigitální signály SHD, MOD, RDY/CLK a DEMOD_OUT. První dva jsou z pohleduEM4095 vstupní, ostatní v˘stupní. Séman-tika rozhraní je velmi jednoduchá a opíráse o okamÏité úrovnû jednotliv˘ch signá-lÛ. To prakticky umoÏÀuje pfiipojit i jedno-du‰‰í logiku, neÏ je mikroprocesor, neboÈse zcela obejdeme bez pfienosÛ jako SPI,atp. Vstup SHD umoÏÀuje deaktivaci ob-vodu a pfiechod do reÏimu spánku. Vstu-pem MOD se ovládá modulátor základnínosné (obr. 2). Prvoplánov˘m reÏimem je100 % AM, jednoduchou zmûnou zapo-jení (viz [1]) lze docílit v zásadû libovolnéhloubky modulace. Na v˘stupu RDY/CLKje k dispozici hodinov˘ signál o frekvencizákladní nosné, kter˘ je sfázován s buze-ním anténního obvodu. Na DEMOD_OUTje vyveden digitalizovan˘ v˘stup demodu-látoru AM (obr. 3). Podrobnûj‰í popis fií-zení obvodu viz [1] a [2].

Z analogov˘ch pinÛ si zde v‰imneme tûchs ãísly 3, 6 a 8. První dva slouÏí k buzení mag-netické antény v podobû sériového LC ãlán-ku. Doporuãená zátûÏ je max. 250 mA, v pfií-padû potfieby lze pochopitelnû pfiipojit tran-zistorov˘ posilovaã. Osmiãka je vstup, na kte-r˘ se pfies kapacitní dûliã pfiivádí napûtí z an-tény sbírané na rezonanãním kondenzátoru.Uvnitfi EM4095 zde pracuje jednak demodu-látor AM (citlivost 0,85 mVpp) pfiipravujícídata pro DEMOD_OUT, jednak zpûtná vazbafázového závûsu, kter˘ generuje signál probuzení antény a také pro v˘stup RDY/CLK.VyuÏití fázového závûsu namísto oscilátorus pevnû danou frekvencí zbavuje konstruk-téra nutnosti starat se o vyladûní antény na

konkrétní frekvenci. Staãí se trefit do roz-sahu 100–150 kHz a fázov˘ závûs si ji uÏ „najde“. RovnûÏ tak jsou tím o‰etfienydrobné provozní odchylky parametrÛ antény.

V‰echny zb˘vající v˘poãty periferníchsouãástek (kondenzátory v dûliãi, jakostantény, atp.) jsou v [2] pfiedzpracoványtak, aby je zvládl kaÏd˘ zku‰enûj‰í uÏiva-tel kalkulaãky.

Kódování pfiená‰en˘ch dat (v obousmûrech) nechává EM4095 jiÏ na fiídicímprocesoru. Pfiedpokládá se pouze, Ïe finál-ními modulacemi jsou AM základní nosnépro data ãteãky a zátûÏová AM pro datatranspondéru. Mimoto zde mÛÏe existovatnûkolikero kódování, pomocn˘ch nos-n˘ch, atp. Pozor je tfieba je‰tû dát na ‰ífikupásma. Vzhledem k tomu, Ïe obvod je pri-márnû urãen pro transpondéry EM, zaãínápodle [2] demodulátor uÏ mezi cca 12 kHzaÏ 20 kHz zfietelnû tlumit. Nicménû napfií-klad s obvody HID na 125 kHz vyÏadují-cími pfienést alespoÀ 15,625 kHz jsme pro-blémy nemûli (ST 9/2008).

Režim odposlechuJedná se o nestandardní reÏim, kter˘ se v˘-bornû hodí právû k laboratorním experi-mentÛm, neboÈ umoÏÀuje odposlech ko-munikace mezi transpondérem a jinouãteãkou. Vlastnû jde o dal‰í pfiíjemn˘ dÛ-sledek pouÏití fázového závûsu. Nám se osvûdãilo hned nejjednodu‰‰í zapojení:Anténu jsme odpojili od pinÛ 3, 6 a zapo-jili ji jako paralelní rezonanãní obvod, zekterého jsme odebírali napûtí pro kapacit-ní dûliã na vstup 8. Pak uÏ jen fázov˘ zá-vûs s demodulátorem udûlaly, co mûly. Nav˘stupu RDY/CLK se objevily hodiny sle-dující základní nosnou pfiijímanou z poledruhé ãteãky, a na DEMOD_OUT byl de-modulovan˘ digitální signál transpondé-ru. Situaci zkomplikuje, pokud potfiebu-jeme odposlouchávat komunikaci obou-smûrnou. Hlub‰í modulace základní nos-né poslouchané ãteãky totiÏ zpÛsobuje oãekávatelné v˘padky závûsu. Zde lze do-poruãit sledovat signál z antény samostat-n˘m detektorem slouÏícím jen pro ãtenídat ãteãky. K o‰etfiení vazby závûsu (del‰ív˘padek ohroÏuje pfiíjem rychlé odpovûditranspondéru) navrhujeme pfii v˘padkuexterní nosné nastavit MOD = H. Vedlej-‰ím efektem tohoto pokusu o klíãováníodpojeného(!) budiãe antény je podle [1]konzervace nastavení závûsu. Hodiny naRDY/CLK pfiitom pokraãují dál. Po nabûh-nutí nosné a uvolnûní MOD je vazba zaseobnovena.

Dále jsme zkou‰eli pouÏít EM4095 k emulaci transpondéru. Teoreticky by zá-tûÏová modulace transpondéru mûla jít na-hradit aktivním vysíláním modulovanéhosignálu. Jak ale ukazuje obr. 4, není to takjednoduché. Zde jasnû vidíme, Ïe sebe-men‰í odchylka nosné hlavní ãteãky odnosné emulátoru zpÛsobí v poli vznik ne-Ïádoucích záznûjí. Nበskromn˘ experi-ment ukazuje, Ïe v praxi bude nutné nos-nou emulátoru maximálnû potlaãit a vysí-lat jen postranní pásma AM. Pro takové

kryptologie pro praxi

20 ST 10/2008

Laboratoř RFID

Obr. 1 Typické zapojení EM4095 pro čtení/zápis [1]

Obr. 2 Příklad klíčování nosné (žlutě)

Obr. 3 Výstup demodulátoru (zeleně)

Obr. 4 Zázněje při pokusu o aktivní emulaci (žlutě)

klima_M 18.9.2008 9:31 Stránka 1

kryptologie pro praxi

21

operace se ov‰em mnohem víc hodí pásmoHF. Ne náhodou jsou proto úspû‰né po-kusy tohoto druhu hlá‰eny právû odtud.

EM4083Tento obvod si zatím pfiedstavíme jen krát-ce. Jeho hlavní doménou jsou aktivnítranspondéry podle obr. 5. Data do trans-

pondéru jsou zasílána klasickou LF ãteã-kou, odpovûdi pak putují pfies spoj v pás-mu HF ãi UHF (obstarává jin˘ modul). Propfiíjem dat ze ãteãky je obvod vybaven tfie-mi nezávisl˘mi anténními okruhy umoÏ-Àujícími pfiipojení tfií separátních magne-tick˘ch antén pokr˘vajících co nejlépe okolí zam˘‰leného transpondéru. Na v˘-vojovém pfiípravku EMDB403 je pro tentoúãel k dispozici 3D feritová anténa v pro-

vedení SMD. EM4083 umoÏÀuje digitálnûfiízené ladûní rezonanãní frekvence a ja-kosti jednotliv˘ch okruhÛ pomocí pfiízna-kÛ ve vnitfiní pamûti EEPROM. Po restartuobvod periodicky poslouchá jednotlivéantény a snaÏí se detekovat základní nos-nou nûjaké LF ãteãky v okolí. Jakmile jinajde, uzamkne pfiijímací cestu na kon-

krétní anténu a zaãne vyhledávat spou‰-tûcí bajt (tento krok lze pfieskoãit). Po jehozachycení aktivuje signál probouzející pfii-pojenou fiídicí jednotku a pfiejde do reÏi-mu kontinuálního sériového pfiíjmu dat zeãteãky. Pro ve‰ker˘ datov˘ pfienos je pfied-pokládána 100% AM s kódováním man-chester rychlostí 4 kbps. Toto je ov‰em po-Ïadavek standardního zapojení. Podobnûjako EM4095 je i EM4083 díky své kon-

cepci velmi univerzální, takÏe pokud oÏe-líme pomocné datové hodiny generovanépro v˘‰e uvedené pfienosové schéma, mÛ-Ïeme moÏnosti kódování a rychlosti pod-statnû roz‰ífiit.

Z hlediska bezpeãnosti je velmi zají-mavá schopnost obvodu pfiijímat data LFãteãky (100% AM) aÏ na vzdálenost nûko-lika metrÛ [3]. Díky nezávislému napájeníaktivního transpondéru totiÏ nyní z poleãteãky staãí zachytit jiÏ jen zlomek inten-zity nutn˘ toliko pro správnou funkci cit-livého pfiijímaãe (1 mVpp). Stranou pÛ-vodního úãelu se tak obvod v˘bornû hodípro dálkov˘ (metry) odposlech hesel zasí-lan˘ch ãasto v otevfieném tvaru ze ãteãkydo transpondéru, atp. Doufáme, Ïe pro tu-to pozoruhodnou schopnost najdeme brzynûjaké zajímavé uplatnûní.

ZávěrObvody ‰v˘carské firmy EM Microelectro-nic, jejíÏ souãástí je i ASICentrum, jsoukromû jiného zajímavé svou univerzálnostía schopností pracovat spolehlivû i za po-nûkud nestandardních podmínek. To jepfiesnû to, co v na‰í skromné laboratofii potfiebujeme.

Vlastimil Klíma, TomበRosa,v.klima@volny.cz, tomas.rosa@rb.cz

LITERATURA[1] EM4095 – Read/Write analog front end for

125 kHz RFID Basestation, EM Microelectronic-Marin SA, SWATCH Group, 2001.

[2] EM4095 – Application Note 404, EM Micro-electronic-Marin SA, SWATCH Group, 2006.

[3] EM4083 – 3D Active Long Range Front-End, EMMicroelectronic-Marin SA, SWATCH Group, 2003.

[4] E-archivy http://cryptography.hyperlink.cz, http://crypto.hyperlink.cz

ST 10/2008

Obr. 5 Aktivní transpondér s EM4083 [3]

vysílač LF

řídicíjednotka

přijímač RF

vzestupný směr LF(až do 2,5 m)

Wakeup nASKss_n

SlSclk

So

MikrořadičEM6640

neboEM6812

IRQ

Vbat

EM4083

VSS VFilt

vysílač RF

sestupný směrHF

Odborné nakladatelství

Sdělovací technika Vám nabízí publikace

Jaroslav Svoboda a kolektiv:

Telekomunikační technika 1–3 díl

OBJEDNACÍ KARTA (zašlete na faxové číslo 274 816 490)

Jméno:..............................................................................................

Firma:..............................................................................................

Ulice:.............................................................................................

PSČ, Město:..............................................................................................

Telefon:..............................................................................................

Fax:.............................................................................................

IČO:..............................................................................................

DIČ:.............................................................................................

1. díl, 2. rozšířené vydání 138 stran, 110,- Kč2. díl, 1. vydání 142 stran, 110,- Kč3. díl, 1. vydání 136 stran, 110,- Kč1.–3. díl za zvýhodněnou cenu 299,- Kč

✂

klima_M 18.9.2008 9:31 Stránka 2